Hm. Er beschreibt sich selbst als „freiberuflicher Dozent“. Insoweit kenne ich mich aus: Ich, als freiberuflicher Dozent, speichere rein gar nichts über meine Teilnehmer. Das überlasse ich brav den Anbietern.

Geh noch einen Schritt weiter, denn Du brauchst die Daten der Teilnehmer gar nicht speichern, sondern nur zu verarbeiten, um als Auftragnehmer im Sinne des DSGVO zu gelten. Also doziere und lass auch die Verarbeitung persönlicher Daten durch Deinen Auftraggeber vornehmen (also auch die Ausstellung des Zertifikates, der Teilnehmerurkunde oder des Jodeldiploms), ansonsten bist Du Auftragnehmer i.S.d. DSGVO.
Entsprechend gilt das auch für den TO.

Manchmal, und das ist selten weil ich nicht aktiv um solche werbe(n darf), habe ich auch Direktverträge mit den Arbeitgebern. Aber eben nie mit den Teilnehmern direkt.

Das ist für das DSGVO auch entbehrlich, es hat Dich, den TO oder auch mich trotzdem im Visier.

Ich kann den Unmut von cross gut verstehen und wäre ebenso geneigt, nicht den Hampel der Behörden zu spielen. Und wenn, dann sollen die dafür bezahlen.

Jepp! Mir deucht, dass das gar nicht seine Sache ist und das ihm da jemand höchst unredlich „was auf's Auge gedrückt“ hat.

Gaaanz genauso sieht es aus.
Daher, und insb., wenn er das ohne Umsatzverluste kann, hat er völlig recht, hier nen schlanken Fuß zu machen.